一、 勒索病毒的發(fā)展趨勢
勒索病毒最早發(fā)現(xiàn)于1996年,經(jīng)過多年的發(fā)展,已形成了勒索即服務(wù)(RaaS)的模式化新犯罪活動(dòng),其主要特點(diǎn)是從最初的單一、獨(dú)立的攻擊者轉(zhuǎn)變?yōu)榉止っ鞔_的攻擊團(tuán)隊(duì)。2017年“WannaCry”勒索事件爆發(fā),包括我國在內(nèi)的全球100多個(gè)國家和地區(qū)均受到了巨大損失,也因此極大提高了大眾對(duì)勒索病毒的重視程度。
雖然公眾的安全意識(shí)有所提高,但勒索病毒依舊防不勝防,典型勒索事件頻發(fā)。在“中招”勒索病毒后,攻擊者索要的贖金正在逐步增加,而且支付贖金后的成功恢復(fù)概率極低。根據(jù)Sophos威脅報(bào)告顯示,2019Q4的平均每次勒索贖金的金額約84,116.00美元,2020年Q3這個(gè)數(shù)字提升到233,817.30美元,增加了180%。2021年約有31%的組織在遭受勒索病毒后選擇支付贖金,但僅8%的組織支付贖金后取回了數(shù)據(jù)。
勒索病毒正逐漸成為用戶難以承受的危害。
二、 勒索病毒攻擊鏈
正所謂“知己知彼百戰(zhàn)不殆”,想要防護(hù)勒索病毒攻擊,首先要了解它的攻擊方式。勒索病毒攻擊通常分為非定向攻擊和定向攻擊。顧名思義,非定向攻擊是一種發(fā)散式傳播勒索病毒的攻擊,攻擊能力一般主要針對(duì)中小企業(yè)和小型的政府單位。而定向攻擊,接近APT攻擊能力,通常伴隨著7個(gè)攻擊階段,主要針對(duì)大型企業(yè)和重要的政府單位和設(shè)施。
三、 勒索病毒攻擊渠道
四、 山石網(wǎng)科勒索病毒防護(hù)方案
1、山石智源勒索病毒防護(hù)
山石智源•智能安全運(yùn)營系統(tǒng)是新一代全息數(shù)字驅(qū)動(dòng)的AI分析運(yùn)營系統(tǒng),由分析平臺(tái)與豐富探針共同構(gòu)成,基于大數(shù)據(jù)分析與關(guān)聯(lián)進(jìn)行全網(wǎng)流量、日志、威脅檢測分析,形成集全鏈條數(shù)據(jù)采集、流量實(shí)時(shí)分析、威脅事件分析、安全風(fēng)險(xiǎn)可視化、資產(chǎn)管理、溯源取證、聯(lián)動(dòng)處置的一款安全分析運(yùn)營閉環(huán)平臺(tái),結(jié)合頂級(jí)威脅情報(bào)幫助用戶把握全局安全態(tài)勢,及時(shí)掌控安全威脅,提升安全管理效率,構(gòu)建完善的態(tài)勢感知防御體系。
山石智源•智能運(yùn)營系統(tǒng)對(duì)勒索病毒防護(hù)的流程如下圖所示:
資產(chǎn)梳理&基線檢查:山石智源•智能運(yùn)營系統(tǒng)可以主動(dòng)探測內(nèi)網(wǎng)中未納入管理資產(chǎn),幫助用戶完成資產(chǎn)全面梳理;可自定義基線檢查模板,完成資產(chǎn)基線檢查,發(fā)現(xiàn)系統(tǒng)和軟件漏洞、弱密碼等潛在風(fēng)險(xiǎn),完成系統(tǒng)安全加固。
Web防護(hù)&外設(shè)管控:山石智源•智能運(yùn)營系統(tǒng)通過黑白名單系統(tǒng)實(shí)現(xiàn)對(duì)惡意網(wǎng)站及USB外設(shè)進(jìn)行管理,支持webshell檢測、網(wǎng)站后門檢測、反彈shell檢測等,能有效阻止勒索病毒入侵。
威脅分析:山石智源•智能運(yùn)營系統(tǒng)從“全局情報(bào)匹配、典型進(jìn)程加黑、命令特征分析、網(wǎng)絡(luò)特征分析”四個(gè)維度實(shí)現(xiàn)針對(duì)勒索病毒的威脅分析,輔助用戶實(shí)現(xiàn)分析研判。
事件溯源&證據(jù)收集:山石智源•智能運(yùn)營系統(tǒng)可以提供完整的事件溯源信息,并生成關(guān)鍵證據(jù)信息輔助研判決策。
全自動(dòng)/半自動(dòng)聯(lián)動(dòng)響應(yīng):山石智源•智能運(yùn)營系統(tǒng)支持定制劇本,全自動(dòng)/半自動(dòng)實(shí)現(xiàn)對(duì)勒索事件的自動(dòng)響應(yīng),及時(shí)處置。
工單管理&流程跟蹤:山石智源•智能運(yùn)營系統(tǒng)工單系統(tǒng)可以實(shí)現(xiàn)事件的全流程閉環(huán)跟蹤。
2、山石網(wǎng)科安全服務(wù)
山石網(wǎng)科安全服務(wù)提供風(fēng)險(xiǎn)評(píng)估、日志分析與安全加固服務(wù),專業(yè)安服專家對(duì)安全策略進(jìn)行調(diào)整,充分發(fā)揮安全設(shè)備的防護(hù)能力,另外提供應(yīng)急響應(yīng)服務(wù),急客戶之所急,解您所需。
風(fēng)險(xiǎn)評(píng)估服務(wù):針對(duì)客戶網(wǎng)絡(luò)及安全環(huán)境內(nèi)的系統(tǒng)、應(yīng)用、網(wǎng)站及APP的安全防護(hù)能力進(jìn)行綜合評(píng)估,由專業(yè)工程師根據(jù)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)及相關(guān)技術(shù)規(guī)范要求,采用多種評(píng)估方式,實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)的綜合評(píng)估。
日志分析服務(wù):由資深安服工程師對(duì)安全日志信息進(jìn)行分析總結(jié)。
應(yīng)急響應(yīng)服務(wù):為客戶提供應(yīng)急預(yù)案設(shè)計(jì)、安全事件應(yīng)急響應(yīng)及處置。通過國際廣泛采用的PDCERF應(yīng)急響應(yīng)流程,協(xié)助客戶有效對(duì)應(yīng)安全突發(fā)事件(包括網(wǎng)絡(luò)掃描事件、漏洞攻擊事件、Web攻擊事件、惡意病毒事件、挖礦程序事件、勒索病毒事件、網(wǎng)站掛馬事件、數(shù)據(jù)篡改事件等)。
五、 客戶價(jià)值
?事前事中事后結(jié)合
在勒索軟件事件發(fā)生之前,通過資產(chǎn)梳理、漏洞加固、端口管理等手段,提前規(guī)避勒索軟件侵入的渠道。在檢測到勒索/疑似勒索事件發(fā)生后,全自動(dòng)化/半自動(dòng)化的響應(yīng)處置,如阻斷相關(guān)主機(jī),生成工單報(bào)送處置等。事件處理完畢后,可溯源本次事件發(fā)生區(qū)域、IP等因素,進(jìn)一步做好防護(hù)管控,提供安全防護(hù)水平。
?無接觸快速上線
疫情防控背景下,推薦使用軟件態(tài)勢感知監(jiān)測平臺(tái),無接觸、快速上線。第一時(shí)間監(jiān)測整網(wǎng)安全狀況。
?結(jié)果交付投入少
以“勒索”安全治理結(jié)果交付,相比購買硬件、軟件設(shè)備投入費(fèi)用、資源較少,又能快速解決安全難題。
附:勒索病毒中招急救4步:
1.隔離感染主機(jī):隔離中勒索病毒的終端,斷開所有網(wǎng)絡(luò)連接并禁用網(wǎng)卡。
2.阻斷傳播路徑:關(guān)閉局域網(wǎng)內(nèi)其他終端的SMB,RDP端口,阻斷異常的外聯(lián)訪問。
3.溯源分析:通過工具(探針或終端檢測響應(yīng)類)抓包分析。
4.殺毒修復(fù)漏洞:掃描殺毒,更新漏洞補(bǔ)丁,修改終端口令。
